PHPトークン(トークン)の設計_PHPチュートリアル

目標を達成する方法:

繰り返しの送信を回避するには?
SESSION に配列を保存します。バックグラウンド処理中に、この配列にトークンが存在するかどうかを最初に確認します。 , 繰り返し送信であることを示します。
ソースを確認する方法は?
オプションで、このトークンが生成されると、送信時に他の人が HTML (トークンのコピー) をコピーすると、理論的にはトークンに次の情報が追加されます。 session_id が現在の session_id と等しくない場合、この送信は外部送信であると判断できます。
実行するアクションを一致させるにはどうすればよいですか?
トークン化するときに、このトークンのアクション名をトークンに書き込む必要があります。を処理するときに、このアクションを解決して比較するだけです。
以前に書いた GToken は、上記の 2 番目の点を満たしていませんでした。今日、それを修正して機能 2 を追加しました。個人的には、これは大丈夫だと思います。何か無理があるような気がしますので、教えてください

ネットで暗号化の方法を見つけたので、




コードをコピーしました。次のように:

class GEncrypt extends GSuperclass { protected static function keyED($txt,$encrypt_key){

$encrypt_key = md5($encrypt_key);

$tmp = " " ; t, $i,1) ^ substr($encrypt_key,$ctr,1); function encrypt($txt,$key){
//$encrypt_key = d(0,32000));
ctr=0; $tmp = "";
for ($i=0;$i if ($ctr==strlen($encrypt_key)) $ctr=0;
$tmp.= substr($encrypt_key,$ctr,1) . (substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1)); ); ";
$tmp.= (substr($txt ,$i,1) ^ $md5)

GToken.inc.php
メソッド:

a,granteToken パラメーター: formName、アクション名、key は暗号化/復号化キーです。
encryption(formName:session_id)

b の形式で文字列を返します。 isToken パラメータ: token は、grantToken、formName、アクション名によって生成された結果であり、fromCheck がオリジンをチェックするかどうか、また、true の場合は、トークン内の session_id が現在の session_id、dropToken、と一致するかどうかも判断します。アクションが正常に実行された後、この関数を呼び出し、このトークンをセッションに記録します

コードをコピーします コードは次のとおりです:

/**
* 原則: トークンの割り当てをリクエストするときは、一意のトークン、base64(time + rand + action) を割り当てる方法を見つけてください。
* 送信された場合は、このトークンが以前に使用されたことを示すためにこのトークンを記録します。重複送信を避けるためです。
*
*/
class GToken {

/**
*現在のすべてのトークンを取得します*/
public static function getTokens(){
$tokens = $_SESSION[GConfig::SESSION_KEY] _トークン ]; 
if (empty($tokens) && !is_array($tokens)) {
$tokens = array(); 
}
$tokens を返します。 
}

/**
*新しいトークンを生成します*/

public static function granteToken($formName,$key = GConfig::ENCRYPT_KEY ){
$token = GEncrypt::encrypt($formName.":".session_id() ,$キー); 
$token を返す; 
}

/**
* トークンを削除すると、実際にはセッション内の配列に要素が追加され、データの繰り返しの送信を避けるためにそのトークンが以前に使用されたことを示します。
**/
public static function dropToken($token){
$tokens = self::getTokens(); 
$tokens[] = $token; 
GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens); 
}

/**️ medium 追加 session_id が現在の session_id と同じかどうか
* @param string $key 暗号化キー
* @return boolean
*/

public static function isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){
$tokens = self::getTokens(); 

if (in_array($token,$tokens)) //如果存在、说明是使用过的トークン
return false; 

$source = split(":", GEncrypt::decrypt($token,$key)); 

if($fromCheck)
return $source[1] == session_id() && $source[0] == $formName; 
else
return $source[0] == $formName; 
}
}
?> 

例:

まずは$_POSTからトークンを取り出してisTokenで判定

このファイルをダウンロードすれば問題なさそうです
一致するアクションかどうかを判定したい場合はisTokenのformNameを変更すればOKです。実行後は正常に動作しますが、一致するものはありません。これで成功したことがわかります。

繰り返しの送信を回避できるかどうかは検証していません。あとはソースチェックを行うかどうかです。は正常に動作しています。
上記を入力します。 例によって生成された HTML をローカル Web ページにコピーし (さまざまなドメインの目的を達成するため)、それを実行し、ソースが不明であることを確認し、アクションを実行しません (isToken の 3 番目のパラメーターが必要です)。
isToken を変更します。3 番目のパラメータが false に設定され、送信され、指定されたアクションが実行されます。

さて、これまでのところ、どこかにバグがあるかどうかはわかりません。長期使用するとデバッグや変更が遅くなります

http://www.bkjia.com/PHPjc/318686.html

www.bkjia.comtru​​ehttp://www.bkjia.com/PHPjc/318686.html技術記事目標を達成する方法: 繰り返しの送信を回避するには? 配列は、正常に送信されたトークンを保存する必要があります。まず、トークンがこの配列にあるかどうかを確認します。